Firewall Fundamentals 


مقدمة : 
تعريف بسيط : ال ااج ۴|۲٠»‏ هو عبارة جهاز W2۲٥(‏ ل14۲ ) أو نظام(٥50fW2۲)‏ يقوم بالتحكم عن في مسيرة 
ومرور البيانات في الشبكة أو بين الشبكات و التحكم يكون إما بالمنع أو السماح. غالبا يستخدم عند وجود الإنترنت و 
التعامل مع ال امعماهام ٥۴/1۴‏ ولكن لايشترط ذلك . 


قبل أن نتكلم بتفصيل عن الجدران النارية بجب أن أنذكر بعض صفاته » و ماذا يستطيع أن يفعل الجدار الناري ؟ ... 


۷ إن الجدار الناري يعتبر النقطة الفاصلة اللتي تبقى الغير الغير مصرح لهم بدخول الشكبة الخاصة من الدخول 
لها و التعامل معها بشكل مباشر و اللتي تقلل من إستغلال ثغرات هذه الشبكةو خدماتها كال , 00i‏ مءم| 
Routing Attacks‏ . 

يحدد الجدار الناري إتجاه البيانات الصادرة و الواردة من و إلى الشبكة . 

يحدد الجدار الناري الأنظمة الموثوقة أو (Trusted System)‏ و هو الجهاز أو الشبكة أو نظام التشغيل 
الموثوق بهم و اللتي يسمح لها بالتعامل مع الشبكة الداخلية المحمية. 

يقوم الجدار الناري بمراقبة البيانات العابرة من و إلى الشبكة وأيضا تسجيل الأحداث و تتبعها و التنبيه عن 
أي أخطار أو أحداث غريبة تحصل . 

> يقدم الجدار الناري موثوقيه التعامل مع بعض بروتوكلات الإنترنت و يقوم بعمل أشياء أخرى تخدم 
مستخدمين الشبكة المتصلين بالإنترنت كتوفير العنوانين )۸N۸1(‏ » و أيضا يستطيع أن يعمل كذاكرة للمواقع 
اللتي تم زيارتها من قبل لتسريع الوصول لها فيما بعد لكامل الشبكة (٣إئةط))‏ . 

> يخدم الجدار الناري أيضا سبل الإتصال الأمن المتعددة متل -مء۲| و ۷۴۸ . 


و الأن سنذكر لن نقول عيوب بل الصحيح هو › ما اللذي لا يستطيع أن يفعله الجدار الناري ؟ ... 


كا اجار فاون الا هد اعفاد الى كوخ فار ل فر ال ف ى رتف 
ررر لات ا قط الك ا ا ا 

> لا يستطيع الجدار الناري المخاطرة اللتي داخل الشبكة نفسها من الأفراد اللذي هم بطبيعة الحال داخل الشبكة و 
خفعلا على فك اة اللي حي في ال الك المخة : 

> لا يستطيع الجدار الناري الحماية من الفايروسات و الذيدان في الشبكة و التي تشنتشر بسرحة و تسبب 
الخظر ن ع كام اكه الداكاة حت قل حن رمال شار كة لفات ر عضن اقات ةة 
المزروعة . 

: (Firewall Characteristics) يرlنلا خصائص الجدار‎ « 


سنقسم شرح خصائص الجدار الناري إلي قسمين لتوضيح فكرة الجدار الناري في العمل : 


¡. أهداف تصميم الفايروول 
أ. التقنيات اللتي يستخدمها الفايروول في التحكم 


أ أهداف تصميم الفايروول : 


1- كل البيانات الداخلة و الخارجة من و إلى (كارت الشبكة- على مستوى الجهاز الواحد- أو على الشبكة- على 
مستوى شبكة - ) يجب أن تمر بالجدار الناري أولا قبل الإنتقال للطرف الأخر . 


2- يكون التحكم في البيانات عن طريق استثنائها أو استئصالها من المرور من و إلى الشبكه و متطلبات الشبكة و اللتي 
يراها مدير الشبكة هي اللتي تحدد تلك القواعد . 


3- 
i‏ التقنيات اللتي يستخدمها الفايروول في التحكم 


يستخدم الفايروول أربع أنواع للتحكم بالموصول إلى الشبكه و اللتي يسمى حينها |اه٣†"ه)‏ ءوعءءA‏ و اللتي يستخدم 
غالبا طريقة التحكم في الخدمات اللتي تسمح بالوصول للشبكه للتحكم بالوصول من و إلى الشبكة ولكن هذه ليست الطريقة 
الوحيدة وسنذكر الطرق الأخرى و هي .. 


: Service Control 


يحدد الفايروول أنواع خدمات الإنترنت و اللتي تستطيع عن طريقها الوصول من و إلى الشبكة (, dہںهطہ!‏ 
)0utb0un‏ . قد يقوم الفايروول باستثناء أو استئصال البيانات العابرة سواء الخارج أو الداخلة بالإعتماد على ۲| 

dd res‏ و أيضا ب ۲مم ۲٥۶/5۴‏ و ذلك بإجبار أجهزة الشبكة باتباعهم بروكسي (البروكسي هو عنوان 
الفايروول سيرفر و اللذي توجد فيه قواعد مرور و حجب الخدمات أو المواقع و غيرها) حيث بدونه لن تستطيع الحصول 
على الإنترنت مثلا. 


: Detection Control 


يحدد الفايروول هنا لإتجاه الخدمات العابرة من و إلى الشبكة و اللتي يتحكم بها عن طريق السماح بالطلبات و تلبيتها و 
بهذا يحدد إتجاه الخدمات المستثناة و المستأصلة . 


: User Control 


يحدد لهم إستخدامهم لخدمات معينه وغالبا تطبق على المستخدمين اللذين هم داخل الشبكة مثل أن يسمح باستخدام ال ۷۲١‏ 
أو ۵| و غيرها . 


: Behavior Control 


هنا يحدد سلوك استخدام خدمه معينة بطريقة معينة . مثال : أن لا يسمح لعملية العام أو لبروتوكول |٥۲‏ بالتكرار 
أكثر من أربع مرات و تكون حجم حزمة البيانات لا تزيل عن 165 كيلو بايت من نفس ال | متلا .. أو أنه يمنع رسائل 
السبام من الوصول إلى ال ٣م۷٣‏ مء ازج" و هكذا , 


« أنواع الجدران lلنارية (Types of Firewalls)‏ : 
هناك ثلاثة أنواع للجدران النارية سنوضحها بالرسم و الشرح بعد سردها سردا عاديا .. 


Packet-Filters Router .i 
Application-Level Gateway .ii 
Circuit-Level Gateway .iii 


Packet-Filters Router i 
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r r i |‏ 
عبارة عن مجموعة من القواعد (ءماه۸R)‏ توضع للبيانات الواردة )sئPKT (incoming‏ و الصادرة (outgoing PKTs)‏ 
حيث هي اللتي تحدد قرار البيانات إما بالتمرير أم الطرد أو التجاهل » وسنذكر سبب هذه التسمية بتفصبل معنى كلمات 


Rute‏ .. سمي بذلك لأنه طريقة عمله شبيهة بطريقة الراوتير في تمرير و رفض البيانات على الإتجاهين الصادر و 
الوارد (من و إلى الشبكة الداخلية) . 


te‏ ¡۴-tهPack‏ .. قد يفهم أغلبنا أن الفلترة تعني الإستإصال على الإطلاق لكن الصحيح في الفلتره هي إما الاستئصال 
أو الاستثناء » فالاستئصال يعني السماح للكل و منع البعض ٠»‏ أنا الاستثناء فيعني منع الكل و السماح للبعض و طبعا كلتا 
الحالتين يجب أن تطبق عليها القواعد ءاه الموضوعه من مدير الشبكة . 


يكون تحديد المنع و السماح لجهاز معين أو لشبكة معينة بالطرق التالية : 


S0urce |۶ address v>‏ : أي عنوان الجهاز أو الشبكة المنتجة (المرسل) لحزمة البيانات نفسها و اللتي تقوم 
بإرسالها لجهاز أو شبكة أخرى . 
Destination |P address >‏ : أي عنوان الجهاز أو الشبكة المستقبلة(المرسّل إليه) لحزمة البيانات اللتي تم 
إرسالها من جهاز أو شبكة أخرى بغض النظر عن عنوان المرسل. 
Source and Destination Transport-Level address‏ : وهنا في الحقیقة یعتم على منافذ البروتوکولات 
في تحدید قواعده مثل عاص ںہ ءام D۲‏ ل/CP"‏ و اللتي ينتج عنها التحكم في التطبيقات المارة من و إلى 
الشبكة مثJ Telnet , http , SMTP‏ . 
field >‏ اcoعtoدام‏ ۱۶ : و هنا یعتمد في تحدیده على البروتوكولات اللتي تعمل في ۲عyھا "ra N5م0 ٣‏ . 
> ceصnterfا‏ : و هنا يعتمد على كارت/كروت الشبكة المتصل بالجهاز/الشبكة و يحدد ما يمر منها و إليها في 
قواعده , 
ه ملاحظة : 
- إن أول قاعدة ثابتة تكون في جميع الجدران النارية هي قاعدة إفتراضية هي (إمنع الجnمgı( (Everything is‏ 
(۵ع)عها8 حيث هذه القاعدة هي الأكثر أمانا على الشبكة و من ثم يقوم مدير الشبكة بالسماح فقط لما يريد. 
- إن القواعد تطبق في الجدار الناري من الأعلى إلى الأسفل حيث القاعدة الأحدث هي الأعلى أي هي من ستطبق 
أولا. 
- لا فائدة من تطبيق نفس القاعدة مرتين . 
- غالبا تكون القواعد الدنيا أقل صرامة من اللتي فوقها وليس شرطا 


ا نقاط الضعف في gi‏ ع Packet Filter Firewall‏ : 
- بسبب أن الجدران النارية لا تنظر إلى البيانات المتبادلة في الطبقات العليا في ء هرجا ا05 فهي لا تستطيع 
منع الطبيقات اللتي تستغل ثغرات التطبيقات اللتي تعمل في هذه الطبقة › متل أن الجدار الناري لا يستطيع أن 
يمنع أوامر محددة و اللتي تصدر إلي النظام إذا كان يسمح بنوع اتصال يسمح باستقبال الأوامر مثلا إذا كان 
يسمح بال 55۳١‏ ,ع" اه۲ فلا يستطيع الفايروول أن يتحكم بالأوامر نفسها حيث أنه بعد السماح له لا ينظر ماذا 
يمرر من بيانات (أوامر) 


- بسبب أن الفايروول لا يستطيع الحصول إلا على معلومات محدودة › فإن تحكمه بالوصول يكون تقليدي جدا و 
محدود حيث مان قلنا أنه يتمد عذJ (source add. , destination , traffic type)‏ 

- هناك تغرات خطيرة في البروتوكلات اللتي لا غنى عنها و اللتي غالبا يجب السماح لها و اللتي تعمل في 
الطبقى الثالثة ( مرها )ام س†م) و اللتي تعمد فيها هذه الثغرات على عمليات ال ع اfممم5‏ مثل 
(Routing , Addressing)‏ 

- من السهل جدا حدوث خطأ في وضع إعدادات (قواعد) الفايروول حيث يسمح لعناوين و خدمات يجب أن لا 
ست ها باترضصول إني الشبكة او التامل معا خلافا لقراغة الخاية المطلرية كى هذ الأكية: 


Application-Level Gateway .ii 


— 


Telnet 


أو ما بسمى بال ءعرءع؟ ر×م٣٧‏ حيث يعمل كمظم للطبة السابعة من ا05 (اع۷عا ۸٥†ةءاممA)‏ › حيث يخرج 
المستخدم للعالم الخارجي عن طریق ال wy‏ ەھ باستخدام تطبیقات 1٤٥۲/۱٥‏ مثل ۴۲۲ , Telnet‏ يث Gateway‏ 
تسأل المستخدم اللذي يريد الإتصال عن اسم المستخدم و كلمة المرور للمصادقة لكي يتم إكتمال الاتصال و حينما تتطابق 
بالصواب فإن الإتصال يتم فإذا كانت الخدمة لم يتم تعريفها في ال Proxy server‏ فإن الإتصال أو الخدمة المطلوبو لن 
يتم إتمامها و من هذه الخاصية فإن مدير الشبكة يستطيع بالسماح فقط للخدمات اللتي يريد تداولها و استخدامهاو منع 
البقية كلها . يميز هذه الطريقة هو أنها تسمح بمراقبة و تسجيل كل ما يحصل في كل التطبقات العليا و السفلى . 


ا نقاط الضعف في giع Application Level Gateway‏ : 
- إن أكبر و أخطر نقطة ضعف في هذا النوع هو أنه يعمل عمليات معاجة أكثر بكثير من سابقة و أنه يحمل 
السيرفر حملا زائدا مما يؤثر على كفائته عن زيادة الضغط عليه حيث يقوم بفحص كل التطبيقات و مراكبتها 
الصادر منها و الوارد حیث يراقب اتصال ال end-to-end 1C۲‏ . 


Circuit-Level Gateway iii 


هذا النوع الثالث من أنواع الفايروول و اللذي تعمد فكرته على أنه يعمل كبوابة عبور وة سه6 ولكن تكون في حالة 
تأهب لا تعمل مثل النوع الثاني (رمسعاة اع۷عا ١هاةءiاممA)‏ حيث الأخير يضل يعمل و يراقب الإتصال حتى بعد 
السماح بالإتصال » أما هذا النوع يعتمد في عمله على أنه عندما يقوم طرف بطلب الإتصال بطرف الأخر - لنفرض أن 
جهاز من داخل الشبكة أراد الإتصال بجهاز من خارج الشبكة - فإن هذا النوع يقوم بفتح إتصال بينه و بين الجهاز اللذي 
من داخل الشبكة » ثم يقوم الفايروول بنفسه بإنشاء إتصال بينه و بين الجهاز اللذي من خارج الشبكة ثم بعد ذلك يتم 
توصيلهما ببعضهما و يترك الإتصال حرا لهما دون الإضطلاع على البيانات المرسلة داخل هذا النوع من الإتصال و 
يكون تلبية حاجة الحماية هنا عن طريق النظر إلى القواعد - هل تسمح بالاتصال أم لا - فإن كانت تسمح فإنه يتم 
الاتصال بنجاح و يترك لهما الإتصال براحة تامة . 


٠: ملاحظة‎ 


- إن استخدام هذا النوع من الفايروول يستخدم من مدير الشبكة عندما يكون هناك ثقة بينه و بين مستخدمين 
الشبكة الداخلية . 


- يستطيع هذا النوع العمل أيضا ك إعرعك ر×ه٣‏ للشبكة الداخلية و رمسwع‏ اه اعvعا-tأuء٣أ٣‏ للشبكة 
الخارجية . بهذه الطيرقة يكون قد قلل الحمل على السيرفر و مراقبة لكل الإتصالات و الطلبات. 


SOCKS JI ya Circuit-Level Gateway Jl an! إن من أشهر و أقوى‎ - 


ما هو اڵ S05‏ ؟ 

هو بروتوكول وضع و صمم لينتج طريقة اتصال محددة بين برامج الجهاز الخادم و العميل -ع۷إم5-†"ieاC‏ 
icationsاApp‏ على بروتوکولات ۲٤۳۲‏ و 5۴ل لكي يوؤمن الاتصال بين الأجهزة المستخدمة لتلك 
البروتوكولات .....(يكمل) 


يحتوي ال 50٥)S‏ على المحتويات التالية : 


> rverهء S0K5S‏ : و اللذي يعمل على أي بيئة أساسها بيئة ×اN١لا‏ . 
brary >‏ tاienاc‏ 0)5 : و اللتي تعمل على الأجهزة اللتي في الشبكة الداخلية المحمية بالفايروول . 
S0C)S-ified >‏ : و هي عبارة عن التطبيقات اللتي يتداولها أجهزة العملاء مٿJ FTP, TELNET‏ . 


n~ 


عندما ينوي العمیل المعتمد على بروتوکول ۲٣۳۲‏ (۲”ء‌ااع ۵٥ءهط-٥٣۲)‏ فتح إتصال جديد بينه و بين 
جهاز أخر يمكن الوصول إليه فقط عن طريق الفايروول فإنه يجب فتح إتصال من بروتوكول ال 1٤۲‏ و 
بتحدید †ا ۴0 له في SOCKS server dI‏ . 

إن منفذ (۲۲مم) خدمة ال 50٤۳)5‏ في الاتصال عن طريق بروتوکول ۲٣۲‏ هو منفذ رقم 1080 

إذا كان طلب العميل مقبول » فإن العميل يدخل في مفاوضة لإتمام المصادقة بينه و بين الخادم على طريقة 
خو رة ال ااك الكار ي ف د ت ا : 

تتم نفس الخطوات السابقة على بروتوكول 0۲لا . 


سنتكلم الأن عن نقطة أخرى متعلقة بموضعنا ألاو ھg Bastion Host J|‏ „ 


ما ھg‏ |— Bastion Host‏ ؟ 


هو نظام يتم تعريفه من مدير نظام الفايروول على أنه نقطة حرجة و خطيرة في الشبكة و اللتي تحتاج إلى حماية 
أكثر من بين نقاط الشبكة كلها . إن الوم١۳‏ 0وج8 يخدم كمنصة عمل Application-Level JÛ (P|atform)‏ 
أو gateway‏ اlkeve-Circuit‏ . هناك خصائص رئيسية لل وم i0۸ایةط‏ و هي : 


v۷ 


v۷ 


Bastion Host Hardware‏ منصة تعمل على إصدارة من نظام تشغيل يستطيع أن يلبي إحتياجاتها 
مٹتل A5۸‏ و ×۴۱ . 

لا أحد يستطيع تثبيت و تشغيل الخدمات عليها إلا مدير الشبكة و اللتي تتضمن خدمات ال ۷×ه۴۲ و 
البروتوكولات اللتي تعمل کتطبیقات و غیرها مثل ماع۲ ,۴۲۲ M۴,‏ وأیضا N5‏ 0 و أیضا یتولی 
المصادقة في هذه الخدمات كلها وغيرها . 

إن مستخدمين ال »ه٣۴‏ يحتاجون مصادقة أكثر لكي يسمح لهم باستخدامه بالإضافة إلى أن كل ه۴۲ 
٣ءء‏ يحتاج أيضا مصادقة قبل السماح للمستخدمين باستخدامه . 

تستطيع أيضان أن تحدد نوع أنظمة التشغيل اللتي تعمل و تقوم بالمصادقة معه » و هذا يعني تحديد 
الأوامر و الخدمات اللتي تعمل مع البروتوكولات عبر الشبكة . 

يستطيع البروكسي جمع و تتبع و مراقبة البيانات و تسجيلها . 

إن برامج البروكسي اللتي توضع و تنصب على سيفراتها بسيطه و خفيفة علا النظام و سهلة في التعامل 
معها , 

تستطيع ۴٣٠» 5٥۲۷٠۲١‏ أن ترتبط ببعضها البعض و لا يؤثر ذلك على كفاءتها و عن حاجة مدير 
الشبكة لإضافة (سماح- منع) اي خدمة جديدة فإنه يعتبر أمرا سهل جدا حتى و إن وجدت نقطة حرجه 
Bastion Host‏ . 


> إن استخدام البروكسي في الشبكة بالنسبه للمستخدمين لا يعطيهم أي صلاحيات في منطقة ال 0اائج8 
Host‏ . 


: من أمثلة الفايروولات‎ 
Linux << IPtables 
Cisco << PIX 
Cisco << ASA 
Microsoft << ISA 


Juniper << Juniper firewall 
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